MySQLI中準(zhǔn)備的語(yǔ)句通過(guò)將SQL邏輯與數(shù)據(jù)輸入分開(kāi)，以防止SQL注入并提高效率。有效地使用它們：1）連接到數(shù)據(jù)庫(kù)，2）用占位符準(zhǔn)備SQL語(yǔ)句，3）按類型正確綁定參數(shù)（s String，I for Integer等），4），4）執(zhí)行語(yǔ)句，5）使用Bind_Result（）進(jìn)行bind_result（）進(jìn)行選擇的詢問(wèn)，以及6）for bind_result（）和6）關(guān)閉語(yǔ)句和連接。常見(jiàn)的錯(cuò)誤包括不正確的參數(shù)綁定，無(wú)法檢查prepard（）是否返回false，而在循環(huán)過(guò)程中不重置變量，但是遵循最佳實(shí)踐可確保安全可維護(hù)的代碼。

使用PHP中的數(shù)據(jù)庫(kù)工作，使用MySQLI準(zhǔn)備的語(yǔ)句是確保應(yīng)用程序安全有效的最佳方法之一。它們通過(guò)將SQL邏輯與數(shù)據(jù)輸入分開(kāi)，有助于防止SQL注入。

這是如何有效地使用Mysqli準(zhǔn)備的陳述。

準(zhǔn)備好的陳述是什么？

準(zhǔn)備好的語(yǔ)句是MySQLI中的功能，可讓您編寫一次SQL查詢，然后用不同的參數(shù)多次執(zhí)行它。您可以準(zhǔn)備一個(gè)模板并將變量綁定到占位符，而不是通過(guò)連接字符串（可能很危險(xiǎn)）來(lái)構(gòu)建查詢。

此方法可確保始終將用戶輸入視為數(shù)據(jù)，而不是可執(zhí)行的代碼。

如何使用Mysqli使用準(zhǔn)備的陳述

使用準(zhǔn)備好的陳述涉及一些明確的步驟：

1. 連接到數(shù)據(jù)庫(kù)
2. 準(zhǔn)備SQL語(yǔ)句
3. 綁定參數(shù)
4. 執(zhí)行語(yǔ)句
5. 獲取結(jié)果（如果需要）
6. 關(guān)閉聲明

讓我們?yōu)g覽一個(gè)基本示例：

 // 1。連接到數(shù)據(jù)庫(kù)
$ mysqli = new mysqli（“ localhost”，“ username”，“ password”，“ database”）;

//檢查連接
如果（$ mysqli-> connect_error）{
    die（“連接失敗：”。$ mysqli-> connect_error）;
}

// 2。準(zhǔn)備SQL語(yǔ)句
$ stmt = $ mysqli->準(zhǔn)備（“插入用戶（name，email）value（？，？）”）;

// 3。綁定參數(shù)（字符串的s，s for String）
$ stmt-> bind_param（“ ss”，$ name，$ email）;

// 4。設(shè)置值并執(zhí)行
$ NAME =“ John Doe”；
$ email =“ john@example.com”;
$ stmt-> execute（）;

回聲“成功插入了記錄”。

// 6。關(guān)閉聲明和連接
$ stmt-> close（）;
$ mysqli-> close（）;

您還可以使用此方法進(jìn)行SELECT ， UPDATE和DELETE操作。

綁定參數(shù)正確

使用準(zhǔn)備好的語(yǔ)句的最重要部分之一是正確綁定您的變量。 bind_param()函數(shù)采用類型字符串，然后是變量。

• 字符串的"s"
• "i"為整數(shù)
• "d"為雙
• "b"對(duì)于斑點(diǎn)

確保變量的數(shù)量和類型與SQL查詢中的占位符匹配。

例如：

 $ stmt = $ mysqli->準(zhǔn)備（“從name =？and age>？”中選擇ID>？”）;
$ stmt-> bind_param（“ si”，$ name，$ age）;

在這種情況下，第一個(gè)參數(shù)（ $name ）是字符串，第二個(gè)參數(shù)（ $age ）是整數(shù)。

如果您弄錯(cuò)了，您的查詢可能不會(huì)按預(yù)期或可能默默失敗。

安全獲取結(jié)果

使用SELECT查詢檢索數(shù)據(jù)時(shí)，您需要在獲取結(jié)果變量之前綁定結(jié)果變量。以下是：

 $ stmt = $ mysqli->準(zhǔn)備（“選擇ID，從用戶ind =？”）;
$ stmt-> bind_param（“ i”，$ user_id）;
$ stmt-> execute（）;
$ stmt-> bind_result（$ id，$ name）;

while（$ stmt-> fetch（））{
    Echo“ ID：$ id，名稱：$ name <br>”;
}

$ stmt-> close（）;

bind_result()方法將結(jié)果列綁定到變量，因此您可以在循環(huán)中安全地訪問(wèn)它們。

這樣可以使所有內(nèi)容保持清潔，并避免使用常規(guī)的mysqli_query()調(diào)用，避免使用混亂的數(shù)組處理。

避免的常見(jiàn)錯(cuò)誤

人們使用準(zhǔn)備的陳述時(shí)經(jīng)常會(huì)遇到一些陷阱：

• 忘記檢查prepare()是否返回false
• 使用后不關(guān)閉語(yǔ)句
• 綁定不正確的類型或太多/幾個(gè)變量
• 在多個(gè)執(zhí)行中使用相同的變量名稱意外使用

一個(gè)好的做法是始終檢查prepare()的回報(bào)值：

如果（！$ stmt = $ mysqli->準(zhǔn)備（“ select ...”））{
    die（“準(zhǔn)備失?。骸薄? mysqli->錯(cuò)誤）;
}

另外，如果您瀏覽多組數(shù)據(jù)，請(qǐng)確保每次都正確重置或重新綁定變量。

這基本上就是如何使用MySqli處理準(zhǔn)備的陳述。它比老式的方法要多一點(diǎn)，但是從長(zhǎng)遠(yuǎn)來(lái)看，它更安全，更易于維護(hù)。

以上是如何使用Mysqli使用準(zhǔn)備的陳述的詳細(xì)內(nèi)容。更多信息請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！